業務脆弱性評估是業務持續性保障 BCM 的基礎資料

2021-09-03 03:41:07 字數 3405 閱讀 8165

業務脆弱性評估是業務持續性保障

(bcm)

的基礎資料

---cvss

方法的理解

從風險評估的觀點來看,業務的中斷是由於系統自身的故障或外部的***,而這些***是因為系統本身存在「漏洞與弱點」,***者利用了這些漏洞與弱點,給系統造成了威脅。從軟體設計的觀點來看,任何系統的設計不可能沒有「錯誤與

bug」,有系統平台帶來的,有投資限制而不得以為之的,有開發時間緊張而難以考慮的,有開發者自身經驗不足留下的,也有使用者「不良習慣」造成的

…所以業務保障首先要了解這些系統弱點,綜合評估系統弱點可能帶來的威脅,為保障措施的設計提供依據。

系統的風險評估可以分為系統、業務、功能模組、具體資產四個部分。乙個系統由多個業務組成,每個業務可以分為多個功能模組組成,每個功能模組落實到多個硬體、軟體來具體實現。對弱點的評估從低層的具體資產開始,加上組成系統時的環境因素,最後構成對整個系統弱點的評價。對系統的風險評估有多種定性與定量的方法,這裡介紹的是

通用安全弱點評估系統

(cvss: common vulnerability scoring system)。

cvss

是乙個行業的標準,主要目的是評估安全漏洞的嚴重性。

cvss

是由幾個通訊領域和計算機安全領域的公司發起制定的,並

由first(

事件反應和安全小組論壇)全

力支援的一種安全弱點評估系統,

cvss

是乙個開放並且能夠被產品廠商免費採用的標準,

它解決了先前安全弱點評估系統不相容的問題,並且提供乙個簡潔統一的安全弱點評分,從而方便了安全問題的交流與溝通,企業單位也可以在短時間內對安全漏洞作及**估,把損失減小到最小。目前

microsoft

、oracle

等軟體公司把

cvss

作為其系統軟體漏洞的安全評價方法。

cvss

最初是2023年2

月在美國國土安全部**上公布的,

2023年6

月,first

發布了這個標準的第二版

cvss 2.0

。cvss

的目標是為所有軟體安全漏洞提供乙個嚴重程度的評級。評分系統把能夠完全攻破作業系統層的已知安全漏洞評為基準分數

10分。可以解釋為:

cvss

基準分數為

10分的安全漏洞是指能夠完全攻破系統的安全漏洞,典型的結果是***者完全控制乙個系統,包括作業系統層的管理或者「根

」許可權。

其實cvss

的設計思路可以擴充套件到對業務系統的脆弱性評估,甚至是整個組織系統的脆弱性評估,但是由於

cvss

本身側重於軟體的漏洞分析,所以很多引數設計需要進一步的擴充套件,下面我們具體了解一下

cvss。

一、cvss

的漏洞評估思路:

cvss

把軟體漏洞

的評價分為三個緯度:基本度量、時間度量、環境度量。基本度量是基本安全屬性,是對漏洞本身的安全度量,以及評價在其生命週期中的變化,也就是時間度量,最後,作為資產的使用、業務的運營,其所處的環境也起著重要的影響。所以

cvss

的計算可以說是三個度量緯度的「滾動疊代」。 1

、基本度量:主要是安全的基本屬性,機密性

(保密性

)、一致性

(完整性

)、可用性是資訊保安的三個基本屬性

(cia)

,其重要性不說了。

cvss

在度量中為了把三個屬性相關聯,採用了屬性加權重的方式,把漏洞對每個安全屬性的影響「分布」開來,每個屬性拿出一半的權重給其它兩個屬性,最後三個屬性值求和,這樣做的可以突出漏洞在某一方面對整個軟體的影響。其餘的幾個屬性,是對

cia的補充,也是該漏洞可被利用的途徑,也是軟體設計者讓使用者使用軟體必需經過的通道。 n

訪問向量:也是訪問者的「距離」,是從業務訪問路徑角度來定義的,

cvss

認為本地的安全大,異地訪問給識別使用者帶來困難,也給仿冒者提供方便,所以安全方面給值

0.7, n

訪問複雜性:是對業務訪問的***可能性來定義的,越複雜越安全,但業務訪問是公開的,很容易獲取,所以只給了

0.8。 n

籤權:是業務對使用者的識別。沒有使用者鑑別,也就沒有辦法對使用者的行為審計,對安全的影響是很大的,所以給值為

0.6。

從基本度量的六個引數來看,

cvss

是基於定性的評估,主觀的因素很多,並且沒有針對漏洞的性質進一步的區分,若對整個業務評估還顯不足。 2

、時間度量:

cvss

在時間上的考慮有些不容易被理解,主要是從漏洞資訊的傳播與損失來著想,漏洞是否保密?若不被人所知,漏洞也不會形成威脅。漏洞被公布後,就看它被人利用的可能性,以及漏洞可被修復的等級,若能可以及時被修復,漏洞的威脅也要小很多,這也是我常見的漏洞補丁。 n

可被利用性:實際上是使用漏洞的技術門檻,

cvss

給出了定性評價,從不知道是否可利用,到可以實際利用,到非常方便地利用。 n

可被修復性:補救措施的門檻,也就是補丁或替代方法,但畢竟是後續的補救,需要使用者另外關注,所以即使可修復,也是從

0.87

比例開始。 n

報告的機密性:就是漏洞的傳播速度,漏洞是否為人所了解,能絕對保密,就沒有威脅。這一方面很重要,因為很多漏洞的發現機構都「及時公開」,不僅方便了廠家的及時推出補丁,也方便了***者獲得漏洞資訊,開發新型***手段。

漏洞是軟體開發中不可避免的,從它被發現開始,到可以很方便地被修復,是其「生命週期」。在其「生長」過程中,傳播速度與可利用門檻是它能帶來危害的重要引數。 3

、環境度量:由於該漏洞的出現,也會對整個業務其他部分產生負面的影響,就是附帶的損失影響,這是乙個係數,最高到

0.5。另外

cvss

對資產是否分布式很關注,因為分布的管理相對困難,增加了漏洞的可被利用性。

環境度量值的範圍是

1~10

,很多軟體公司就以這個數值作為軟體漏洞的評價數值,數值越大越危險。

oracle

公司目前公布最威脅的漏洞為

7.5。

在風險評估領域,把環境度量進一步變換成

1~3之間的乙個數值

v,表示評估物件的脆弱性數值。其意義如下:

脆弱性值定義1

嚴重程度高,需要立即整改或加固

2嚴重程度中,需要給予高度重視,在一定時間內整改或加固

3嚴重程度低,需要給予關注,在適當時候加以整改或加固

二、cvss

的計算公式與引數 1

、基本度量值的計算公式與引數

、時間度量值的計算公式與引數

、環境度量值的計算公式與引數

4、脆弱性值計算公式

v = int [ (

環境度量值

* 3) / 10 +0.5 ]

MS SQL 異常處理的脆弱性

因專案需要,在儲存過程中做容錯處理,使資料操作異常時程式仍然可以繼續執行,所以在思考這個問題,經測試後才發現的異常處理真的很弱。所以把錯誤處理完全交給儲存過程是不可能的,還是要配合呼叫程式的錯誤處理功能才能完成.sql2005中新增try catch 也是如此,出現嚴重錯誤時一樣無法捕獲。以下是引用...

強名稱(3)強名稱的脆弱性

通過前文共同體驗了強名稱對程式集的保護方式和原理,但是這種保護的強度到底有多大呢?能有效地防禦惡意篡改者嗎?先看下面的例子。回到上篇文章的 清單 9 7,重新對 strongnamereferencelib 專案進行強名稱簽名,然後編譯 strongname 專案。在 strongname 專案的b...

勒索病毒暴露了網路安全的脆弱性

日前,一款叫做wannacry的病毒在全球範圍內快速爆發,被這款病毒攻擊的計算機的幾乎所有檔案都將被加密鎖定。全球150多個國家的網路被攻擊。中英兩國受害最為嚴重,英國的nhs服務受到了大規模的網路攻擊,至少40家醫療機構內網被黑客攻陷。在中國,北京 上海 江蘇 天津等多地的出入境 派出所等公安網也...